Tham gia Đăng nhập
Điểm:0
avatar Server

Làm cách nào tôi có thể khám phá các CVE liên quan đến các gói đã cài đặt một cách đáng tin cậy

lá cờ kw
griswoldbar

Tôi có một ứng dụng web chạy trên Ubuntu Server 18. Một trong những phụ thuộc của nó là Ghostscript. Phiên bản mới nhất mà tôi có thể cài đặt qua apt-get là 9.26, nhưng tôi được biết rằng phiên bản này có vấn đề về bảo mật.

Điều tôi đang tìm kiếm là một cách tự động phát hiện khi CVE được nâng lên so với gói. Tôi đã nghĩ rằng tôi có thể chỉ cần kiểm tra kho lưu trữ apt-get nhưng tất cả những gì nó có thể làm là cho tôi biết nếu nó có phiên bản mới hơn, chứ không phải nếu có vấn đề với phiên bản mới nhất mà nó có.

Có cách nào để khám phá xem phiên bản của gói có lỗ hổng từ dòng lệnh không? tức là một số lệnh hoặc API hoặc tệp công khai mà tôi có thể tạo tập lệnh xung quanh?

74
0 + 0
cve
Điểm:2
avatar Server
lá cờ cn
Bob

Phiên bản mới nhất mà tôi có thể cài đặt qua apt-get là 9.26, nhưng tôi được biết rằng phiên bản này có vấn đề về bảo mật.

Đó là cả sự thật và có lẽ không hoàn toàn là sự thật có liên quan.

Hầu như tất cả các bản phân phối Linux chính đều cập nhật bảo mật cổng. Họ lý ​​do cho backporting và quá trình này được mô tả khá tốt trên RedHat.com nhưng tương tự với Ubuntu. (Vui lòng đọc toàn bộ bài viết đó.) Nói tóm lại, số phiên bản cũ hơn được báo cáo bởi chính phần mềm hoàn toàn không đồng nghĩa với việc không an toàn.

https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=ghostscripthttps://www.ghostscript.com/doc/9.55.0/News.htm

Cả hai đều hiển thị toàn bộ các sự cố đã được khắc phục trong bản phát hành Ghostscript mới nhất.

Bạn có cần cập nhật lên Ghostscript 9.55 để sửa tất cả những lỗi đó không?

Không.

https://ubuntu.com/security/notices/USN-4686-1 cho thấy rằng nhiều lỗ hổng đã được chuyển trở lại và Ubuntu 18 hoàn toàn không dễ bị CVE gần đây nhất theo

https://ubuntu.com/security/cves?package=ghostscript

Nói chung, việc thường xuyên áp dụng các bản cập nhật bảo mật (miễn là bản phân phối của bạn được hỗ trợ) sẽ giúp bạn an toàn.

0 + 0
lá cờ kw
griswoldbar
Mặc dù đó không chính xác là những gì tôi đang hỏi, nhưng tôi đánh dấu đây là câu trả lời đúng vì nó đã giải quyết được vấn đề của tôi và khiến tôi nhận ra rằng mình đã hỏi sai câu hỏi :)
0
Hồi đáp
Điểm:1
avatar Server
lá cờ jp
AlexD

Bạn cần debsec.

debsecan phân tích danh sách các gói đã cài đặt trên máy chủ hiện tại và báo cáo các lỗ hổng được tìm thấy trên hệ thống.

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.